Vxscan是用python3写的综合扫描工具，主要用来敏感文件探测(目录扫描与js泄露)，WAF/CDN识别，端口扫描，指纹/服务识别，操作系统识别，弱口令探测，POC扫描，SQL注入，绕过CDN，查询旁站等功能...

一、CSRF漏洞简介csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好...

注：本文和等保联系不是很密切，还是说一了些linux里细节一些的东西，所以有可能会浪费你生命中的好几分钟，同时我使用的是centos6。一、密码修改周期策略首先贴上我的上一篇文章，和本篇有些关...

截止到28日5点，HW行动终于结束，朋友圈感觉是在过年，到处是倒计时和庆祝声。看来防守方们7*24小时的看监控还是比较无奈的。本次复盘基于我对整个护网行动的观察总结而来，仅代表我个人观点，...

“无论什么战斗，光靠防守是赢不了的。想要赢，就必须攻击。” ——《死亡笔记》一旦被那些受利益驱使或有政府背景的黑客团伙盯上，在这场不太公平的攻防博弈中，你会明显感到力不从心。他...

事件过程 2019 年 6 月 13 日，接到某单位通知，某网站首页内容被篡改，网站标题被修改为缅甸腾龙娱乐公司。 文件修改时间被篡改为 2015 年。 通过扫描网站目录发现如下后门文件。 ...

被人问到各种蜜罐的测评然后就想写一下各种开源蜜罐的测评报告，各种开源蜜罐地址可以在下面找到我也将按照里面的模板进行测评。https://github.com/paralax/awesome-honeypots/blob/master/REA...

FreeBuf早报，安全圈值得关注的每日大事件 【全球动态】1、商务电子邮件泄密事件频发 平均每月损失 3 亿美元【阅读原文】商务电子邮件泄密（BEC）频率正逐年增加，并且企图窃取的价值也在不...

在红队参与期间，我们经常会与使用Office 365的组织进行联系。而当前针对这种环境的工具十分有限，这意味着我们可能需要在参与期间进行开发。为了更好地为这些环境做好准备，我们开发了一个专门...

引言weblogic中两个CVE漏洞比较有意思，所以复现一下，该两个漏洞需要在poc中加入用户名和密码（cookie）才能实现。环境搭建 环境搭建： 首先安装weblogic 下载地址 http://www.oracle.com...